AWS Security Incident Response でのデータ保護 - AWS Security Incident Response ユーザーガイド

AWS Security Incident Response でのデータ保護

内容

AWS 責任共有モデルは、AWS Security Incident Response サービスのデータ保護に適用されます。このモデルで説明したように、AWS は、AWS クラウドで提供されるサービスを実行するインフラストラクチャを保護する責任を負います。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する AWS のサービスのセキュリティ設定と管理タスクにも責任があります。データプライバシーの詳細については、「データプライバシーのよくある質問」を参照してください。欧州でのデータ保護の詳細については、AWS セキュリティブログに投稿された「AWS 責任共有モデルおよび GDPR」ブログを参照してください。

データ保護の目的で、AWS セキュリティのベストプラクティスでは、AWS アカウントの認証情報を保護し、AWS IAM Identity Center または Identity and Access Management (IAM) AWS を使用して個々のユーザーを設定する必要があります。この方法により、それぞれのジョブを遂行するために必要なアクセス許可のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:

  • 各アカウントで多要素認証 (MFA) を使用します。

  • SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。

  • AWS CloudTrail を使用して API とユーザーアクティビティログを設定します。

  • AWS 暗号化ソリューションを AWS のサービス内のすべてのデフォルトのセキュリティ管理と一緒に使用します。

  • FIPS 140-3 は現在、このサービスではサポートされていません。

E メールアドレスなどの極秘または機密情報を、タグ、または [名前] フィールドなどの自由形式のテキストフィールドに含めないでください。これは、コンソール、API、AWS CLI、または AWS SDK によって AWS サポートや他の AWS のサービスを使用する場合も同様です。タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。